![]() |
|
Log-Analyse und Auswertung: PC Cleaning, Logfile AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() PC Cleaning, Logfile Auswertung Hallo alle zusammen, da ich zur Zeit endlich mal wieder etwas Zeit gefunden habe, bin ich seit gestern dabei, mein PC wieder auf Vordermann zu bringen. Sprich: von schädlicher Software entfernen, Datenmüll loswerden etc. Meine PC-Daten (falls vonnöten): XP Home Edition SP 2 Version 2002 Celeron(R) CPU 2,66 GHz 1,49 GB RAM So, als erstes begann ich damit AVG Free 9.0 laufen zulassen, welches infizierte Dateien fand und auch vernichtete. Infektionen;"1";"1";"0" Spyware;"10";"10";"0" Für den Scanvorgang ausgewählte Ordner:;"Gesamten Computer scannen" Start des Scans:;"Dienstag, 16. Februar 2010, 17:44:19" Scan beendet:;"Dienstag, 16. Februar 2010, 19:50:55 (2 Stunde(n) 6 Minute(n) 35 Sekunde(n))" Gesamtanzahl gescannter Objekte:;"330566" Benutzer, der den Scan gestartet hat:;"***" Infektionen Datei;"Infektion";"Ergebnis" I:\Programme\***\Link Checker v.1.3.exe;"Trojaner: Generic16.BFYF";"In Virenquarantäne verschoben" Spyware Datei;"Infektion";"Ergebnis" I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise0036.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe:\unwise001f.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Programme\vtp6.zip:\Vista Transformation Pack 6.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Programme\vtp6.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0024.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin:\unwise0006.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe:\unwise0014.bin;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip:\Vista Transformation Pack 3.0.exe;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" I:\Eigene Dateien\Meine empfangenen Dateien\vtp3.zip;"Potentiell gefährliches Programm: HackTool.BVK";"In Virenquarantäne verschoben" Dannach Festplatten defragmentieren, anschließend säuberte ich die Redistry mit regseeker (nur mit der automatischen Funktion, ca 200 Einträge sind noch vorhanden, bin aber unsicher ob die ebenfalls gelöscht werden können). Anschließend defragmentierte ich die Registry mit RegCompact.NET. Malwarebyte's Anti-Malware laufen, welcher einen Fund hatte, dazu gibts auch einen Logfile: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3510 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 17.02.2010 00:33:11 mbam-log-2010-02-17 (00-33-11).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|) Durchsuchte Objekte: 203901 Laufzeit: 2 hour(s), 0 minute(s), 38 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\spool\drivers\w32x86\2\lxaestrn.dll (Worm.KoobFace) -> Quarantined and deleted successfully. Anschließend dann Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:51:10, on 17.02.2010 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AVG\AVG9\avgchsvx.exe C:\Programme\AVG\AVG9\avgrsx.exe C:\Programme\AVG\AVG9\avgcsrvx.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVG\AVG9\avgwdsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AVG\AVG9\avgnsx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\PROGRA~1\AVG\AVG9\avgtray.exe C:\Programme\Canon\MyPrinter\BJMyPrt.exe C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\802.11g USB Wireless Network Driver and Utility HW.14 V1.0.0\RtWLan.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: 802.11g USB Wireless Network Utility .lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7001 bytes Anschließend deaktivierte ich über msconfig im Autostart einige Unnütze Sachen (ein paar lies ich aber aus Unsicherheit drinnen). Es waere super wenn mir jemand helfen koennte den HijackThis auszuwerten. Auserdem habe ich im Taskmanager 49 Prozesse am laufen, ist das normal? Beim Wmp 11 ist es auch so, dass er nie richtig geschlossen wird, im Hintergrund weiterläuft, und ich ihn nur richtig über den Taskmanager jedes Mal schließen kann. Vielen Grüße und Dank im vorraus, Tungsten |
Themen zu PC Cleaning, Logfile Auswertung |
adobe, auswerten, avg, avg free, bho, canon, cleaning, computer, cpu, einstellungen, entfernen, excel, festplatte, hijack, hijackthis, hkus\s-1-5-18, home, infizierte, infizierte dateien, log-file, logfile, logfile auswertung, loswerden, registrierungsschlüssel, registry, regseeker, sicherheit, software, software entfernen, super, system, taskmanager, trojaner, usb, virenquarantäne, vista, windows xp, worm.koobface |